Embed Size (px)
Citation preview
Икономически Университет – ВарнаФакултет „Магистърско обучение”
КУРСОВА РАБОТА
По дисциплината:Безопасност и защита
Тема: Безопасност и защита на VPN-мрежи
Подготвил: Проверил: Вяра Велинова ф.н. 10953 Доц. Д-р Ст. Дражев59гр., Информатика х.ас. В. Кръстева
1
СЪДЪРЖАНИЕ
1.Въведение……………………………………………………………………………..2
2.Същност на VPN……………………………………………………………………...3
2.1.Определение за VPN……………………………………………………….3
2.2.Същност………………………………………………………………….…4
2.3.Предимства на VPN ………………………………………………….……8
3.Начин на работа ……………………………………………………………………10
3.1.Тунелиране, криптиране, идентификация……………………………....10
3.2.Свързване на мрежи през Интернет……………………………………..12
3.3.Свързване на компютри през Интранет……………………………...….12
4.VPN протоколи ……………………………………………………………………..13
5.Типове VPN мрежи…………………………………………………………………16
6.Сигурност на VPN …………………………………………………………...…….17
6.1.Методи за криптиране, използвани при VPN………………………..…20
6.2.Методи за удостоверяване, използвани при VPN………………………21
7.Типове атаки, използвани срещу VPN ………………………………………...…22
8.Практически решения за VPN……………………………………………………...24
9.Open VPN – прeдимства и недостатъци……………………………………..…….27
10.Мобилен VPN……………………………………………………………………....29
11.Заключение…………………………………………………………………………31
12.Използвана литература…………………………………………………………….32
2
1. Въведение С развитието на икономиката и съпътстващите я информационни технологии все по-
често наблюдаваме централизиране на производствените мощности в близост до източниците на ресурси. От своя страна бизнес управлението се дистанцира от производството като се разполага в предназначени за целта „бизнес центрове“ и „бизнес зони“ разположени в близост до потребителите – в това число бизнес сгради, търговски обекти, молове и т.н. С оглед на това разделение между отделните звена на една и съща фирма се налага решаването на една важна задача, а именно – как да бъдат информационно обединени отделните структурни звена, да обменят данни и съобщения в реално време, като преодолеят проблема „разстояние“ и едновременно с това гарантират сигурност и защита при преноса на важна фирмена информация?
За решението на такъв проблем първо възниква идеята за реализиране на компютърна мрежа, която да свързва управление и производство. С оглед на разстоянието между тези две фирмени звена, създаването на една локална мрежа за предаване на информация между хостовете е практически невъзможно. За това практично решение би било използването на ресурсите на Интернет за предаване на информацията на големи разстояния. Но това ще реши само проблема „разстояние“ и ще предизвика нови проблеми – несигурност в защитата на фирмените данни, проблеми при съвместимост на софтуер, на различните му версии и използвани браузъри, проблеми при използваните протоколи за пренос на данни и др.
Така пред съвременните информационни технологии стои въпросът: „Как да създадем защитена връзка на голямо разстояние между отделите на една и съща фирма, за да може тя да функционира адекватно и конкурентно на пазара?“. Решението, което те предлагат е наречено VPN (Virtual Private Network) или в превод – Виртуална частна мрежа.
Виртуалните частни мрежи са нов етап от развитието на Интернет. Те намират все по-широко приложение и непрестанно се усъвършенстват срещу нежелани хакерски атаки и компютърни вируси. Частната вируална мрежа предоставя сигурни комуникационни канали между отделни компютри или компютърни мрежи за пренос на данни в публичната и незащитена глобална мрежа (Интернет). Този тип услуга е предназначен предимно за големи компании и организации с представителства в различни географски точки, в рамките на един град, държава, континент и дори по целия свят. Фирми, които искат да си осигурят защитен достъп до общите информационни ресурси на компанията, като обща база данни, защитена обмяна на информация по частен канал или за достъп на индивидуални потребители до ресурсите на фирмата. Веднъж създадена, системата от частни или наети линии може да се използва само от една фирма, като по този начин се гарантира неприкосновеност на данните от неоторизирани лица.
В сегашно време VPN технологията се усъвършенства постоянно, като вече се предлагат модификации като Мобилен VPN. Също на потребителите се предлагат и Opensource решения за VPN, които допълнително спестяват разхода на една фирма за изграждането на такава частна мрежа, като предлагат също толкова надеждна защита на фирмените данни, чрез прилагане на новаторски решения при реализирането на VPN канал.
3
2. Същност на VPN 2.1. Определение за VPN
Съществуват най-различни определения за частните виртуални мрежи. Едно от тях гласи, че „VPN (Virtual Private Network) е разширение на обхвата на една частна мрежа (в това число търговско другество, университет или друга организация), чрез връзки през споделена или публична среда, каквато е Интернет.“ Друго, че „Виртуалната частна мрежа е комуникационно оборудване, при което достъпа се контролира за да се допуснат равни връзки само вътре в определената общност от интереси.“
Частната виртуална мрежа по същество представява система, която позволява на две или повече частни мрежи да бъдат свързани помежду си чрез публично достъпна мрежа, каквато е Интернет. В този си смисъл VPN наподобява до голяма степен стандартните WAN мрежи или частните мрежи от типа “Point-to-point”. Разликата идва от това, че при VPN се осъществява практически едно „виртуално“ свързване на отдалечените компютри, чрез създаден криптиран тунел през публичната мрежа, който е достъпен само за учасниците в частната мрежа. По този начин се осигурява сигурен и защитен пренос на информация на отдалечени разстояния. На фиг. (1) е показано схематично как се реализира VPN.
Фиг.1. Пренос на информация чрез VPN
2.2. Същност
Обяснението на термина виртуална частна мрежа се състои в обяснението на трите съставящи го думи: Мрежа, Виртуална мрежа и Частна мрежа.МрежаМрежата представлява компютри, които комуникират един с друг.
4
Виртуална мрежаВ локалните (LAN) и глобалните (WAN) мрежи има мрежова преносна среда, кабелна или безжична, която директно свързва комуникиращите компютри. Виртуалната мрежа не притежава такава среда, тя създава тунел през обществена мрежа, например Интернет, и двата комуникиращи компютъра се свързват към мрежата. Този вид връзка наподобява връзката от точка до точка и това се постига, чрез енкаплулиране на данните със заглавна част (header – хедър), която съдържа информация за маршрута на данните и така осигурява преминаването им през обществената мержа и достигането им до крайната точка. Частна мрежаЗа да се постигне подобие на частна мрежа и гарантирана поверителност, обменяните данни се криптират. Пакетите, които са прихванати от публичната мрежа, са нечетими без съответния ключ за декодиране. Частта от връзката, в която частните данни са енкапсулирани, се нарича “тунел”. Връзката, в която частната информация е криптирана, се нарича “виртуална частна мрежа”. (фиг.2)
Фиг.2. Частна виртуална мрежа
Използването на VPN дава възможност на потребителя да достъпва по сигурен начин отдалечен фирмен сървър от дома си, на път ( в командировка) или от далечно разстояние. Така погледната, връзката наподобява “point-to-point” – потребителския компютър се свързва с фирмен сървър. VPN връзките през Интернет логично работят като wide area network (WAN) връзки между обектите. И в двата случая, сигурната комуникация през мрежата се явява пред потребителя като частна комуникация – въпреки факта, че комуникацията се осъществява през публична мрежа - оттук идва и името виртуална частна мрежа.
5
VPN технологията възниква с развитието на телекомуникативността и мобилността. Преминаването от стационарни към портативни устрйства изисква те да могат да комуникират помежду си сигурно и в реално време. Когато говорим за конкурентноспособност на една корпорация именно адекватните й решения, бързи реакции и достъпа до информация във всеки един момент повишават този критерий. И все пак от първостепенно значение се явява защитата на тези данни или достъпът до тях да бъде ограничен и подсигурен. Този проблем на фирмите е предпоставка и за създаването на частни виртуални тунели в публичната мрежа – Интернет.
Виртуалните частни мрежи използват известни мрежови технологии и протоколи. Клиента изпраща поток от криптирани Point-to-Point Protocol (PPP) пакети на отдалечен сървър или рутер, вместо да използва поделена линия (както е случая със WAN) и пакетите се предават чрез тунел по публичната мрежа. Обикновено организация, която иска да изгради мрежа с широка област, трябва да осигури скъпи публични линии, за да свърже заедно своите офиси. Само големи компании могат да си позволят да закупят тези линии безпроблемно, така че повечето организации “наемат” техните линии и плащат месечна такса, която понякога достига до хиляди долари, за привилегията да използват кабели,с които никой друг не може да се свърже. Организацията обикновено инсталира наемна линия WAN, за да поддържа intranet на дълги разстояния. Освен файловото поделяне и електронната поща, тези WAN осигуряват достъп до intranet страници и системи за видео конференции. VPN могат да поддържат същите intranet / extranet услуги както WAN, но те могат да осигуряват комуникация между потребители и сървър и на много по-големи разстояния т.е. VPN има неограничен обхват на действие. Чрез този метод, компаниите драстично намаляват разходите си за изграждане на собствени WAN мрежи или наемане на такива. Тъй като компаниите вече не трябва да инвестират сами в действителна инфраструктура, те могат да намалят техните операционни разходи чрез използване на мрежови услуги от доставчици на услуги. Така фирмите могат да пренасочат своите разходи в увеличаване мобилността на своите служители и съответно, териториално разширяване на дейността на фирмата. Служителите вече не са ограничени в рамките на корпоративната сграда или местност и могат да разпространяват дейността на фирмата на делчни разстояния, като остават „включени“ в мрежата на компанията по всяко време. Това отваря нови пазари и би донесло нови печалби за съответния бизнес. Тези факти определят и ползата от използването на VPN. Ако една компания реши да не използва VPN услуги, то тя би следвало да потребява secure dial-up услуги (чрез наета телефонна линия). Тези услуги имат някои предимства, като ниска цена, но имат и много недостатъци спрямо VPN, а именно – нуждаят се от телефонна линия, сигналът е много по-бавен, не са практични на големи разстояния.
Цялостното VPN решение осигурява и поддръжка за dial-in достъп, свързване на множество отдалечени сайтове чрез наемни линии, възможността на VPN доставчика на услуги да “хоства” множество услуги за клиенти на тези мрежи (например уеб хостинг), и способността да поддържа не само intra-, но също така и inter-VPN връзки, включително и връзки с гобалния Интернет.
На фиг.(3) е позкзан отдалечен достъп с VPN. Отдалечено разклонение (клиент), желаещ да се включи в мрежата на компанията, се обажда на локалния сървър, който е включен в публичната мрежа. VPN клиента установява връзка със VPN сървъра, поддържан от сайта на компанията. Веднъж след като е установена връзката, отдалечения клиент може да комуникира с мрежата на компанията също толкова сигурно по
6
публичната мрежа, колкото и по вътрешната LAN мрежа. Просто разширение на архитектурата на разширен достъп на VPN, позволява на цялата отдалечена мрежа (за разлика от просто един отдалечен клиент) да се свързва с местната мрежа. За разлика от връзката клиент-сървър, връзката сървър-сървър на VPN свързва две мрежи във форма на разширен интранет или екстранет. Потребителите на интранет могат също да използват VPN технологията, за да осъществяват контролиран достъп на индивидуални subnets по частна мрежа. В този режим, VPN клиенти се свързват с VPN сървър, който играе ролята на врата към компютрите зад него във subnet. Важно е да се отбележи, че употребата на този тип VPN не включва ISPs или public network cabling. Дава се преимущество на сигурността и удобството при използването на VPN технологията.
Фиг.3. Отдалечен достъп с VPN
Веднъж, след като компанията се свърже със VPN сървър, тя може да използва същите приложения, които по принцип използва, за да се свърже с Интернет или може да поръча или наеме подходящите устройства в зависимост от обхвата на мрежата. По- нататък това може да бъде използвано за свързване на LAN в различни сайтове или да дава на потребителите, клиентите и консултантите достъп до корпоративните ресурси (фиг. 4). Често VPN се използват за отдалечени работници като продавачи, за надомни работници или хора с нерегламентирано работно време.
7
Фиг.4 Свързване на LAN
2.3. Предимства на VPN На фиг. (5) са илюстрирани основните предимства при употребата на VPN мрежи. Това са: сигурност, по-ниски разходи, скалируемост, увеличена производителност.
8
Фиг.5 Предимства на VPN
Сигурност - VPNs предоставят най-високото ниво на сигурност чрез използване на съвременни, стандартизирани протоколи за сигурност, като Triple Data Encryption Standard (3DES) за криптиране и IP Security Protocol (IPSec) за тунелиране, както и множество автентикиращи методи, които предпазват данните от неоторизиран достъп и злоупотреби. Традиционният отдалечен достъп и WAN технологиите като remote dial и Frame Relay, предоставят изолиране на трафика, но не и сигурност на предаването. Използвайки криптиране и автентикация, VPNs предоставят повишена мрежова сигурност в „несигурния мрежов свят”.
По – ниски разходи – VPNs позволяват на компаниите да използват рентабилния thirdparty интернет транспорт за свързване на отдалечени офиси и потребители към техните главни корпоративни офиси. Не се налага използването на скъпи наети или Frame Relay линии. С появяването на рентабилните, високоскоростни технологии като DSL, компаниите могат да използват VPNs за намаляване на разходите за WAN връзки, като едновременно с това увеличават честотната лента към отдалечените офиси. VPNs за отдалечен достъп могат да бъдат използвани за свързване на отдалечени потребители към техните корпоративни мрежи чрез локални ISPs(Internet Service Providers). VPNs намаляват разходите и за IT персонал, тъй като изискванията за сигурността са стандартизирани, използва се лесно управляемо и скалируемо VPN оборудване, а някои от задачите за поддръжка могат да се изпълняват от доставчика.
9
Скалируемост - VPNs дават възможност на корпорациите да използват лесно достъпната Интернет инфраструктура чрез ISPs, както и утройства, позволяващи лесно добавяне на нови потребители. Поради тази причина, корпорациите са в състояние да увеличават значително производителността си без добавяне на допълнителна инфраструктура.
Увеличена производителност - Чрез предоставяне на по-бърза и по-надеждна връзка между мобилни служители, отдалечени офиси, extranet партньори и корпоративни мрежи, VPNs несъмнено подобряват нивата на производителност в компаниите. На служителите се предоставя по-добра възможност за отдалечена работа – сценарий, който позволява на компаниите да използват по-малко работно пространство.
Има 3 основни VPN технологии: доверена – trusted VPN, сигурна – secure VPN, смесена – hybrid VPN. Важно е да се отбележи, че сигурните и доверените VPNs не са технически свързани и могат да съществуват съвместно. Преди Интернет да стане почти всеобхватен, една VPN се състои от една или повече линии (circuits), наети от даден доставчик. Всяка наета линия играе ролята на единична жица в мрежа, която е контролирана от клиента. Понякога доставчикът помага при управлението на клиентската мрежа, но основната идея е клиентът да използва наетите линии по същия начин, по който използва физическите кабели в собствената си локална мрежа. Единственото ниво на сигурност при тези VPNs е гаранцията на доставчика, че никой друг освен клиента не може да използва същите линии. Това позволява на клиентите да имат собствено IP адресиране и собствена политика по сигурността. Една наета линия преминава през един или повече комуникационни switch-а, всеки от които може да бъде изложен на риск от някой, който иска да наблюдава мрежовия трафик. VPN клиентът вярва (trust) на VPN доставчика, че поддържа цялостта на линиите и използва най-добрите достъпни бизнес практики за предотвратяване на подслушването на трафика. Тези VPNs се наричат доверени (trusted) VPNs.
3. Начин на работа 3.1. Тунелиране, криптиране, идентификацияВиртуалната частна мрежа лежи на три действия – тунелиране, криптиране и
идентификация.
Тунелиране
Тунелът, създаден в една VPN връзка, представлява логическа връзка от точка до точка, която осъществява автентикация и криптиране на данни от едната крайна точка на тунела до другата. Тунелирането (фиг. 6) осигурява предаване на данни между две точки – краищата на тунела по такъв начин, че за източника и приемника на данните, цялата мрежова инфраструктура, лежаща между тях се оказва скрита. Транспортната среда на тунела подхваща пакетите от входа на тунела и без промени ги доставя до изхода. Изграждането на тунел е достатъчно, за да се свържат два мрежови възела по такъв начин, че от гледна точка на работещия на тях софтуер те изглеждат като свързани в една (локална) мрежа. Но не трябва да се забравя, че данните преминават през множество междинни възли (маршрутизатори) на публичната мрежа. Това „преминаване“ крие в себе си проблеми. Най-важният се изразява в това, че предаваната през тунела информация
10
може да бъде прихваната от хакери. Ако тя е конфиденциална (номера на банкови сметки, финансови отчети или лична информация), напълно е реална заплахата от нейното компрометиране, което само по себе си е неприятно. Нещо повече, хакерът има възможност да модифицира предаваните през тунела данни така, че получателят да не може да ги провери за достоверност. Последствията могат да бъдат фатални за предприятието.
Фиг.6. Тунелиране
Този проблем се решава чрез съвременни средства за криптографска защита на информацията.
Процес на капсулация
При тунелирането оргиналният пакет се скрива във вътрешността на нов пакет.За да се извърши маршрутизацията на пакета през тунела, адресът на крайната точка на тунела се задава във хедъра на новия пакет, който се нарича хедър на капсулацията. Адресът на крайното местоназначение се намира вътре в хедъра на оргиналния пакет. Когато хедъра достигне до крайната точка на тунела, хедъра на капсулацията се снема. Оргиналния пакет се доставя до крайното местоназначение.Тунелиране от Слой 2 (Layer 2 of the OSI model) VPN мрежите използват тунелни протоколи, които осигуряват виртуалната връзка от една точка до друга. Примери за такива протоколи са Point-to-Point Tunneling Protocol(PPTP), Layer2 Forwarding (L2F), Layer2 Tunneling Protocol.Тунелиране от Слой 3(Layer 3 of the OSI model) Тунелите изграждани в мрежовия слой осигуряват IP-базирани връзки. Тези връзки работят чрез изпращане на IP-пакети, капсулирани във вътрешността на специфицирани от Internet Engineering Task Force (IETF) протоколни обвивки. Обвивките използват IPSecurity (IPSec), Internet Key Exchange (IKE) и методи за автентикация и криптиране, като Message Digest 5 (MD5), Data Encryption Standard (DES) и Secure Hash Algoritym (SHA).
11
Криптиране+Идентификация
За да се възпрепятства внасянето на нежелани промени в пакета с данни по пътя му през тунела, се използва методът на електронния цифров подпис (ЕЦП). Същността му се състои в това, че всеки предаван пакет е снабден с допълнителен блок с информация, който се изработва в съответствие с асиметричен криптиращ алгоритъм и е уникален за съдържанието на пакета и секретния ключ на ЕЦП на изпращача. Този информационен блок е ЕЦП на пакета и позволява да се направи идентификация на данните от получателя, на когото е известен ключът на електронния подпис на изпращача. Защитата на предаваните през тунела данни се постига чрез използване на силни алгоритми за кодиране.
По този начин, комбинацията „тунелиране+идентификация+криптиране“ позволява да се предават данни между две точки чрез мрежа за общо ползване, имитирайки работата на локална мрежа. С други думи, разгледаните средства позволяват да се изгради виртуална частна мрежа. Допълнителен приятен ефект на VPN връзката е възможността (и даже необходимостта) за използване на системата за адресация, приета в локалната мрежа.
3.2. Свързване на мрежи през Интернет
Двата традиционни метода за свързване на отдалечени офиси към един главен корпоративен офис са чрез dial-up връзка през публичната мрежа на телефонна компания или чрез наета линия. Тези методи изискват огромен труд за поддръжка и струват стотици или хиляди левове на месец. Чрез VPN от тип “мрежа към мрежа” компаниите имат възможност да намалят разходите за скъпи високоскоростни линии. Чрез използване на връзка към Интернет доставчик при отдалечените офиси и една връзка при главния офис компаниите имат възможност да елиминират използването на много високоскоростни връзки, управлението на Frame Relay, поддръжката на WAN архитектура и значителните финансови и административни разходи, свързани с тях. Съществуват два метода за използване на VPN в зависимост от продължителността на връзката:
Постоянна VPN връзка – двата офиса са свързани постоянно през Интернет като всеки офис е свързан към локален Интернет доставчик, а VPN връзката през Интернет се осъществява чрез VPN софтуер.
VPN при поискване (Demand Dial VPN Networking) – отдалеченият офис се свързва чрез dial-up връзка към Интернет и чрез VPN софтуер към главния офис при необходимост, вместо да използва телефонна линия до главния офис, който може да е разположен на много голямо разстояние.
3.3. Свързване на компютри през Интранет
В някои организационни структури определена част от вътрешната информация може да бъде поверителна, поради което е необходимо отделянето на LAN мрежите им от останалите мрежи на организацията. Въпреки, че това предпазва поверителната информация на отдела, то едновременно създава и проблеми с достъпа на тези потребители, които не са във физически контакт с отделната LAN мрежа.
Една примерна реализация на VPN изглежда по следния начин (фиг.7): В локалната мрежа на офиса на фирмата се инсталира VPN сървър. Отдалеченият потребител (или
12
маршрутизатор, ако се осъществява между връзка между два офиса) с използване на клиентски софтуер инициира процедура за връзка със сървъра. Извършва се идентификация на потребителя – първата фаза при установяване на VPN връзка. При потвърждаване на пълномощията настъпва втората фаза – между клиента и сървъра се изпълнява съгласуване на детайлите за осигуряване на безопасност. След това се образува VPN съединение, осигуряващо обмен на информация между клиента и сървъра във форма, когато всеки пакет с данни минава през процедура за криптиране/декриптиране и проверка на целостта – идентификация на данните.
За да се осъществи съвместимост на различните реализации на VPN, приети са стандарти, най-разпространените от които са протоколите PPTP и L2TP. Тези два стандарта осигуряват сходно ниво на функционалност, но тъй като L2TP използва протокола UDP за създаване на тунел, той може да работи чрез мрежите ATM (Asynchroneus Transfer Mode), Frame Relay и X.25. Освен това, L2TP предлага по-висока защитеност на връзката чрез използване на протокола за безопасност IPSec.
Фиг.7. Примерна реализация на VPN
4. VPN протоколи
Във виртуалните частни мрежи се използват три типа протоколи: Тунелен протокол (VPN протокол)-използва се за изграждане на тунела. Протокол за криптиране (протокол за сигурност)-използва се за сигурност на
данни. Мрежов/транспортен протокол (LAN протокол)-използва се за комуникация
по частната мрежа.
13
Тунелни протоколи
Тунелните протоколи капсулират данните така, че хедърите на оргиналния протокол се обвиват вътре в капсулиращите хедъри.
Протокол PPTP (Point-to-point tunnelling protocol)PPTP на Misrosoft е протокол от слой 2 на OSI модела, за изграждане на WAN
мрежи.Изграден е на основата на Point-to-Point Protocol (PPP) и осигурява капсулирането имаршрутизацията на мрежови трафик през несигурна обществена мрежа (например Интернет). Начин на работа:
Стъпка 1. PPTP капсулира PPP фрейм, който може да бъде IP,IPX ( Internetwork Packet Exchange – използва се при работа с Novells NetWare клиент) или NetBEUI (NetBIOS Enhanced User Interface) пакет, във вътрешността на Generic Routing Encapsulation (GRE) хедър. Добавя се IP хедър за осигуряване на IP адресите на източника и на местоназначението. Адресът на източника е този на VPN клиента, а адресът на местоназначението е този на VPN сървъра.
Стъпка 2. Данните в оргиналната диаграма обикновено са криптирани. VPNмрежите на Microsoft използват протокола MPPE(Microsoft Point-to-Point Encryption – протокол за криптиране на данни между PPP и VPN връзки) заедно с PPTP - за осигуряване на сигурни комуникации.
PPTP-linuxPPTP-linux е клиентски софтуер, който се изпълнява на Linux и Unix машини. Той
позволява да се установят връзки към PPTP сървъри. Софтуерът на PPTP сървъра (наречен PoPToP) е достъпен за Linux, Sun Solaris, FreeBSD и други реализации на Unix. Той поддържа Windows клиенти, както и PPTP-linux, и се разпространява като фрийуеър. Macintosh клиенти могат да се свържат към Windows PPTP сървъри със софтуер на независими производители, като Network Telesystems TunnelBuilder (NTS).
L2F (Layer 2 Forwarding Protocol)Технологията L2F е разработена през 1996 от Cisco Systems и включва техния
софтуер IOS (Internetwork Operating System – пакет, който включва маршрута на операционната система). Като алтернатива на PPTP, L2F има възможност да използва ATM и Frame Relay протоколи за тунелиране. За разлика от PPTP, L2F не изисква IP адрес, за да работи. L2F осигурява автентикация на крайните точки на тунела.
L2TP ( Layer 2 Tunneling Protocol)L2TP протокола е резултат от сътрудничеството на Microsoft и Cisco, той е
комбинация от възможностите на PPTP и L2F. L2TP капсулира данните за изпращане по IP(както прави PPTP), но може да ги капсулира и за изпращане по ATM, Frame Relay и X.25.
Предимства на L2TP пред PPTP: L2TP поддържа множество тунели между крайни точки. Това позволява
създаване на множество тунели, които поддържат различно качество на услугата (QoS). L2TP поддържа компресиране на хедъри, което спестява допълнително
информация.
14
L2TP може да работи и по интернет мрежи без IP, използващи ATM или Frame Relay виртуални вериги.
IPSec ( Internet Protocol Security)IPSec може да бъде използван за криптиране на данни, които текат през тунел
изграден от друг протокол, например L2TP. Той може да бъде използван и за изграждане на тунел, когато действа в режим на тунелиране. В режима на тунелиране IPSec може да бъде конфигуриран за защита на данните между два IP адреса или между две IP подмрежи. IPSec може да използва един или два протокола: Authentication Header (AH) и Encapsulation Security Payload(ESP).
AH тунелен режим AH тунелен режим, използван сам по себе си, не осигурява криптиране на данните,
които пътуват през тунела. Той верифицира, че данните не са пипани и автентицира изпращача. При AH не може да бъде направена никаква промяна на адреса на източника или местоназначението от момента, в който пакетът напусне началната точка на тунела.
ESP тунелен режим При ESP тунелния режим адресите на първоначалния източник и крайното
местоназначение се съдържа в оргиналния капсулиран IP хедър. Външният хедър обикновено съдържа адресите на шлюзовете. ESP тунелът криптира данните с помоща на алгоритмите DES или 3DES.
Интероперативност на IPSecОперационната система Windows 2000 включва вградена поддръжка на IPSec.
IPSec е стандарт на IETF( Internet Engineering Task Force – интернет стандарт), който работи също с Linux, Unix, Macintosh и други операционни системи, поддържащи фамилията протоколи IP. IPSec автентикацията може да бъде направена по различни методи, като предварително споделени ключове, Kerberos и сертифициращи услуги.
FreeS/WAN(Free Secure Wide-Area Networking)FreeS/WAN за Linux представлява реализация на IPSec, която е с отворен код, и е
достъпна за сваляне от публичната мрежата.
SSH/SSH2 (Secure Shell/ Secure Shell2)Първоначално SSH е бил предназначен за осигуряване на сигурна алтернатива на
Unix r- командите, като rsh, rlogin, rcp. SSH2 се е развил като сигурен тунелен протокол, който може да се използва за създаване на VPN мрежа, работеща под Linux или Unix. Типът на VPN мрежата изградена с SSH2, се нарича VPN на ниво верига. При този вид VPN шлюзовете работят в сесийния слой на OSI модела. SSH- клиентския софтуер е достъпен и за Windows машини. SSH може да бъде инсталиран като защитна стена, а тунелът да бъде изграден от SSH клиент с dialup Интернет достъп до защитната стена.Защитната стена може да бъде конфигурирана да препраща трафика до сървъра по вътрешната мрежа. Това решение на VPN връзки обаче е с ниска производителност. Също така, SSH изисква акаунт за логване.
15
CIPE (Center for InternationalPrivet Enterprice)CIPE представлява драйвер за ядрото на Linux, който може да бъде използван за
осигуряване на сигурен тунел между две IP подмрежи. Данните се криптират в мрежовия слой на OSI модела. Това криптиране се нарича криптиране на ниско ниво. Предимството на този вид криптиране пред криптирането на високо ниво е, че при него не трябва да бъдат правени никакви промени на приложния софтуер, когато две мрежи се свързват с помоща на VPN. CIPE е по-прост и ефективен от IPSec, затова и употребата му е препоръчителна.
Протоколи за криптиране
MPPE (Microsoft Point-to-Point Encryption) се използва с PPTP-базирани VPN връзки ( или PPP dial-up връзки) и може да използва криптиращ алгоритъм с 40, 56 или 128-битов ключ.
IPSec (Internet Protocol Security) криптиране IPSec използва DES или 3DES за криптиране на данните в L2TP тунел .
Използването на комбинация от криптографско - базирани алгоритми и ключове прави информацията много сигурна . Алгоритъмът на Дифи-Хелман позволява сигурен обмен на споделен ключ без изпращане на самия ключ по мрежата.
VPNd (VPN daemon ) криптиране : Blowfish VPNd за Linux използва криптиращ алгоритъм Blowfish. Това е 64- битов
алгоритъм , който може да използва ключове с променлива дължина, от 32-бита до 448- бита. Той е бърз и неговия сорс код е достъпен. Съществуват няколко варианта GOLDFISH, DOSFISH и TWOFISH.
SSH (Secure Shell) криптиране Unix SSH използва криптография с публичен ключ за криптиране на данните .
LAN (local area network ) протоколи
За да могат VPN клиентът и сървърът да комуникират , те трябва да имат общ стек от мрежови/ транспортни протоколи . Това може да бъде TCP/IP, но не е задължително . Дори и при PPTP връзка, който изисква IP, частната мрежа може да използва IPX/SPX или NetBEUI.
5. Типове VPN мрежи
Софтуерно-базирани VPN
Софтуерно-базираните VPN мрежи включват използването на тунелните протоколи. Тази категория може да бъде разделена допълнително на продукти на независими производители и VPN софтуер поддържан от операционната система. Предимството на последните е тяхната цена, тъй като не изискват допълнително заплащане и са достатъчни за нуждите на голяма част от организациите. VPN
16
софтуерните продукти на независимите производители обикновено предлагат долълнителни възможности и разширяват използваемостта на VPN, като често осигуряват повече опции за сигурност и в някои случаи по-лесно реализиране. Някои софтуерно-базираните VPN мрежи позволяват да се предават данни в тунела на базата на протокола или IP адреса. Продуктите на независимите производители включват Safeguard VPN, Checkpoint SVN(Secure Virtual Networking) и NetMAX VPN Suite за Linux.Софтуерно VPN решение за Linux, което е безплатно, е FreeS/Wan, използва IPSec.
Хардуерно-базирани VPN
Хардуерно-базирани VPN мрежи се проивеждат от компании като Shiva,3Com и VPNet Technologies, Cisco, IBM, Notrel. Поддръжката на VPN е вградена в маршрутизаторите на Cisco, както и в маршрутизаторите на други компании. NTS Tunnel-Builder осигурява сигурни VPN комуникации за Windows, NetWare и Macintosh. Такива производители като Raptor Systems предлагат VPN мрежи, базирани на такива защитни стени, които са компилирани със средства за сигурност. Хардуерно-базираните VPN мрежи могат да се разделят на две групи:
Базирани на маршрутизатори- Базираните на маршрутизатори VPN решения представляват маршрутизатори с възможност за криптиране. Те предлагат по-добра производителност на мрежата и като цяло са по - лесни за инсталиране и използване.
Базирани на защитна стена- Базираните на защитна стена VPN решения осигуряват допълнителни мерки за сигурност, силна автентикация и детайлно логване. Базираната VPN на защитна стена може също да извършва преобразуване на адреси. Производителността може да бъде проблем, макар че в някои реализации хардуерните криптиращи процесори решават този проблем.
6. Сигурност на VPN
Сигурността на VPN има три компонента : Автентикация Авторизация Криптиране
Автентикация Автентикацията на VPN клиента включва проверката за истинност на
самоличността на машината и на потребителя, който инициира VPN връзката. Автентикацията може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows 2000, използва IPSec за L2TP, VPN сертификатите на машините се обменят като част от изграждането на IPSec асоциация за сигурност. Потребителят може да бъде автентициран с помоща на един от няколкото метода за автентикация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (CHAP), Shiva PAP(SPAP).
17
Авторизация Авторизацията означава определяне на зададените ограничения, на базата на
които на едни от потребителите се предоставя достъп до VPN, а на други се отказва.
Криптиране За защита на данните във VPN мрежи могат да бъдат използвани най -
различни технологии за криптиране. Много VPN реализации позволяват потребителя да избере метода за криптиране, който трябва да бъде използван. Криптирането осигурява сигурност на данни, които пътуват по VPN.
Сигурността на Windows NT 4.0-основани на VPN Windows NT 4.0 осигурява сигурност за VPN. Използва 40 или 128-битови
ключове за криптиране и автоматично генерира ключ за всяка VPN сесия използвайки RC4 криптиращ алгоритъм. Препоръчва се използването на 128-битови ключове, тъй като разбиването на 40-битов ключ не е трудно.
Сигурността на PPTP PPTP наследява сигурността на PPP. Осигурява на потребителя автентикация
и защитава поверителността на клиентската информация. PPP се използва за транспортиране на информацията през PPTP тунела. PPP автентициращите методи използвани в Microsoft Windows 9x DUN Windows NT 4.0 RAS са Password Authentication Protocol ( PAP), Shiva Password Authentication Protocol (SPAP), Challenge Handshake Authentication Protocol (CHAP), Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), и Extensible Authentication Protocol (EAP) в Windows 2000. Microsoft Point to Point Encryption (MPPE) се поддържа в Windows 9x DUN и Windows NT 4.0 RAS. MPPE използва RC4 криптиращия алгоритъм. PPTP зависи от два протокола да защитава информацията на потребителя на PPP ниво: MS-CHAP и MPPE. Най - новите реализации на PPTP и PPP поддържат MS-CHAP v2, която осигурява автентикацията ръчно, по-силни криптиращи ключове, разделя ключовете за криптиране на ключ за изпращане и ключ за получаване.
Сигурност на VPN създаден с IPSec IPSec използва стандартния начин за защита на данните с криптиращи
алгритми, както и използването на ключове за автентикация. IP Security Protocol, определя информацията , която трябва да се добави към IP пакета, за да се осигури поверителността, достоверността на информацията, определя как да бъде криптиран пакета. IKE(Internet Key Exchange) е протокол управляващ размяната на ключове и се използва заедно с IPSec. Той осигурява на IPSec допълнителни предимства, гъвкавост и лесно конфигуриране. Осигурява сигурна комуникация на IPSec без да изисква допънително преконфигуриране и осигурява сигурна размяна на криптиращите ключове. Проблемите, които може да се появят при използването на IPSec VPN зависят от имплементацията. Сигурността при използването на публични ключове зависи е толкова добра , колкото добър е механизъма за защита на частния ключ. Повечето IPSec имлементации поддържат сертифициране. Те генерират по- силни ключове от механизмите основани на генериране на ключ използвайки паролите.
18
Пролема е, че някои имплементации на IPSec използват сертификати базирани на машината без едновременно с това да използват автентициране на потребителя . Ако клиентската машина се използва от повече от един човек, упълномощения достъп до мрежата, основан на машинен сертификат, създава дупка в сигурността. Предимствата на IPSec пред PPTP са, че не поддържа автентикация на ниво потребител ( както паролите при PPTP) и използва автентикация с размяна ключове.
Сигурност на L2TP Сигурността на L2TP зависи от имплементацията. Стандартно VPN изградена с
L2TP използва IPSec, за да осигури защита на информацията. При такива имплементации PPP автентикация обикновено се използва заедно с IPSec.
Сигурност на VPN при Linux FreeS/Wan софтуерните VPN решения за Linux, които използват IPSec, действат
като специализирани маршрутизатори, които установяват IP връзка между два потребитела. Когато пакета се изпрати от потребителя, той минава през маршрутизатора, който му добавя информация в хедъра за пътя, по който да мине и удостоверение (authentication) наречено Authentication Header(AH), и информация за CRC файлoвата цялост (коректност) и сигурност, наречена Encapsulation Security Payload (ESP). Имплементацията на IPSec прави FreeS/Wan сигурно решение. Изолзва се 3DES алгоритъма за криптиране и това защитава пакетите. При атака пакетите могат да бъдат отклонени , но прочитането на информацията е невъзможно (3DES използва 168-битов ключ). При „man-in-the-middle“ атака между сървъра и клиента, атакуващият може да получи достъп и до ключовете разменяни по време на процеса на удостоверяване .
Има няколко причини поради, които CIPE е добър избор за сигурността: CIPE е достъпен на всички Red Hat Linux крайни машини (например, защитни
стени), които искаме да свържем с Internet. Red Hat Linux също включва CIPE- поддържани криприращи ключове (шифари) в общата (основната) си дистрибуция .
CIPE поддържа криптиране използвайки един от стандартните криптиращи алгоритми Blowfish или IDEA.
Тъй като CIPE е софтуерно-базиран, някоя по- стара машина, на която може да се инсталира Red Hat Linux, може да се използва като CIPE гейтуей, така се спестяват средства за закупуването на допълнителни устройства за изграждането на VPN.
CIPE е създаден да работи заедно с iptables, ipchains и други защитни стени основани на правила.
CIPE конфигурирането се прави чрез текстов файл, позволявайки на администратора да конфигурира CIPE сървърите и клиентите отдалечено без да са необходими графични инструменти, който трудно могат да функционират по мрежата.
19
6.1. Методи за криптиране, използвани при VPN
Изборът на алгоритъм за криптиране е един от основните въпроси по сигурността, когато се изгражда криптографски базирано решение. В зависимост от конкретния случай могат да се използват различни криптографски алгоритми:
Симетрични криптографски алгоритми - това са алгоритми, при които криптирането и декриптирането се извършва с един исъщ ключ. Симетричното криптиране (с частен ключ) се базира на таен ключ, който се поделя между двете комуникиращи страни. Изпращащият съобщението използва тайния ключ като част от математическата операция за криптиране на чист (plain) текст в шифрован (cipher). Получателят използва същия ключ, за да декриптира cipher текста обратно в plain текст. За сигурни към настоящия момент се считат блоковите симетрични алгоритми: -3D (Triple DES) – базира се на широко известния и стандартизиран отдавна алгоритъм за шифриране на данни DES (Data Encryption Standard). Triple DES използва схемата за трикратно шифриране с DES с помощта на два или три различни 56-битови ключа.-Blow Fish, Two Fish, Gold fish - BlowFishе 64-битов алгоритъм, който може да използва ключове с променлива дължина, от 32-бита до 448-бита. Той е бърз и неговия сорс код е достъпен. Goldfish и Twofish са наследници на Blowfish.-AES (Advanced Encryption Standard) – AES е най-новият стандарт, базиран на блоковия алгоритъм Rijndael и е завършен в края на 2000г. При него дължината на ключа започва от 128-бита, минава през 192-бита и може да достигне до 1024-бита.
Асиметрични криптографски алгоритми - това са алгоритми за криптиране, които използват двойка ключове за криптиране и за декриптиране. В сравнение със симетричните, асиметричните криптографски алгоритми са по-удобни за шифриране на съобщения, тъй като не изискват допълнителен защитен канал за обмен на ключовете. Поради по-ниската им производителност и бързо действие обаче, те се използват основно в хибридни криптографски системи за защита на секретните ключове на симетричните алгоритми, с които най-често се шифрират предаваните съобщения. Най-разпространените алгоритми са следните:-RSA (Rivest Shamir Adleman) – най-популярният асиметричен алгоритъм, който може да се използва за шифриране на съобщения, за обмен на сесийни ключове и за цифрови подписи.-DSA (Digital Signature Algorithm) - алгоритъмът се отнася към групата на асиметричните алгоритми за цифрови подписи и се използва за контрол за целостта на съобщенията и за удостоверяване на техните източници. -Diffie Hellman алгоритъм – позволява сигурен обмен на споделен ключ без изпращане на самия ключ по мрежата. Освен за криптиране асиметричните алгоритми се използват и за удостоверяване чрез цифрово подписване на съобщенията, а също така и за размяна на сесийни симетрични ключове. Алгоритъмът RSA притежава всички изброени по-горе възможности, DSA се използва за удостоверяване между страните в една VPN връзка, а Diffieb Hellman се
20
използва за обмен на сесиен ключ за симетричен криптографски алгоритъм. Затова най-често DSA и DiffiebHellman се използват заедно.
Дължината на използваните ключове определя сигурността на една криптографска система. Препоръчителната дължина на ключа за съответните алгоритмие:
За симетрични алгоритми: трябва да се използва минимум 112-битов ключ за осигуряване на добра дълготрайна защита.
За асиметрични алгоритми: 1024-битов ключ за кратковременна защита и поне 2048-битов ключ за дълготрайна защита.
6.2. Методи за удостоверяване, използвани при VPN.
Методи за удостоверяване целостта на данните.За удостоверяване на целостта на данните (удостоверяване, че данните не са
променени в процеса на предаване) се използват еднопосочни хеш функции, които служат за изчисляване на съпровождащи изпращани съобщения цифрови сигнатури (message digests). Хеширането е процес, при който математически се преобразува наредена последователност от данни до поле с фиксирана големина. При несанкционирана промяна на съдържанието на съобщението неговата нова цифрова сигнатура ще бъде различна от първоначално определената такава. Обикновено цифровите сигнатури трябва да бъдат допълнително защитени чрез шифриране, подписване или използване на хеш –функции с ключ, тъй като в противен случай нарушителят може да измени съобщението и да добави изчислената от него нова сигнатура. Използвани алгоритми за хеширане:
MD5 (Message Digest) е наследник на алгоритмите MD2 и MD4, които генерират 128-битова хеш стойност.
SHA1 (SecureHashAlgorithm) е алгоритъм за хеширане,който обработва входящите съобщения на блокове с дължина 512-бита и генерира 160-битова хеш стойност.
MAC (Message Authentication Codes) представлява алгоритъм, при който хеширането се комбинира със симетрично криптиране, така че получената хеш стойност е криптирана и може да бъде прочетена от притежателя на същия симетричен ключ.
HMAC (Hash Message Authentication Codes) представлява алгоритъм, при който хеширането се комбинира със симетрично криптиране. Алгоритъмът е проектиран така, че да работи с различни хеш функциии най-често се използва с MD5 и SHA.
Методи, използвани за удостоверяване между две страни при иницииране на VPN връзка.
-Удостоверяване чрез предварително споделена парола (Presharedsecret).-Удостоверяване чрез асиметрично криптиране с публичен ключ.-Удостоверяване чрез цифрови сертификати.За да се осигури валидността на публичния ключ, той се публикува със сертификат.
Това е структура от данни, която е цифрово подписана от доставчика на удостоверителни услуги (certification authority - CA), на когото потребителите могат да се доверят. Сертификатът съдържа по редица от стойности като име на сертификата, информация, определяща собственика на публичния ключ, самият ключ, дата на изтичане на валидността и име на CA. CA използва своя частен ключ, за да подпише сертификата. Ако
21
получателят знае публичния ключ на това СА, той може да се увери, че сертификатът е точно от него и че съдържа достоверна информация и валиден публичен ключ. Така сертификатите с публичен ключ осигурява тудобен и сигурен метод за удостоверяване на изпращащия съобщението.
7. Типове атаки използвани срещу VPN
Атаките срещу VPN основно се разделят на 4 вида: Impersonation- атаки , при които атакуващия се представя за друг човек.
Методите за автентикация поддържани от PPTP могат да намалят ефективността на този тип атаки.
Integrity- атаки , при които информацията изпратена от потребителя се модифицира. По принцип е невъзможно предпазването от този тип атаки, най - доброто, което може да се направи е да се разпознае модификацията. Електронните подписи са също защита срещу този тип атаки.
Disclosure-атаки в резултат, на които информацията се получава от човек, за който не е предназначена. Вредата от този тип атака зависи от съдържанието на информацията. Защитата от този тип атаки е използването на силни криптографски алгоритми.
Отказ на услуга (Denial of service) - целта на тези атаки е да откажат услуга на валидни потребители. Практически невъзможно и най - трудно е предпазването от този тип атаки.
Атаки срещу PPTP и защити - подобрения на Misrosoft
Dictionary Attacks - този тип атаки се състоят в това, че се използва голям списък от думи и чрез изпробване атакуващия се опитва открие парола. Криптираната парола се сравнява с всяка дума от списъка ( също криптирана), докато се открие съвпадение. Всички видове автентикация използващи пароли са уязвими на този тип атака. LAN Manager authentication е особено уязвим. По тази причина не се поддържа в MS-CHAP v2. Използва се Windows NT метода за автентикация, който е по- устойчив на този тип атаки.
Server Spoofing - тъй като се автентицира само PPTP клиента, възможно е фалшиф PPTP сървър да се представи за истинския. Фалшивият сървър може и да не успее да разкодира информацията, която изпраща клиента , но ще събере доста информация криптирана с един и същи ключ, което може да е полезно. Освен това, сървъра може да поиска от клиента да си смени паролата използвайки старата версия на MS-CHAP (CPW1). CPW1 е така проектиран, че фалшивият сървър може да притежава хеша на паролата на клиента и може да я използва, за да се представя с нея на истинския PPTP сървър или на RAS сървър. В MS-CHAP v2 този проблем е отстранен автентикацията се прави ръчно (manual), което прави атаката по- трудна. Ръчно (manual) автентикация означава, че не само клиента се автентицира пред сървъра , но и сървъра се автентицира пред клиента.
22
Слаби криптиращи ключове Криптиращите ключове използвани от MPPE се извличат от потребителската
парола. Ако паролата е несигурна , то и ключа ще бъде също толкова слаб. Подобрението на Microsoft, което е включено в Windows NT 4.0 Service Pack 2, Service Pack 3, Service Pack 4 е че системата може да провери избора на потребителя, дали паролата има минималната дължина и е случайна (не е дума от речник).
Повторна употреба на същия криптиращ ключ Когато 40- битов криптиращ ключ е създаден, същият ключ за криптиране се
използва във всички следващи PPTP сесии, докато потребителя не си смени паролата. Това е така, защото само паролата се използва за извличането на 40- битовия ключ, без друга допълнителна уникална информация за самата сесия . 128- битовия ключ няма този проблем, защото за неговото извличане се използва уникална за сесията информация . Както и да е, същият ключ се използва за двете изпращане и получаване на информация, което означава, че една и съща информация е криптирана с един и същи ключ всеки път. В MS-CHAP v2 за извличането на 40 битовия и 128 битовия се използва уникална информация от сесията. В двете посоки (получаване и изпращане) се използват различни ключове.
Синхронизация на ключовете в MPPE MPPE променя ключа за криптиране на всеки 256 пакета или когато се изгуби пакет . Ако получателят забележи, че има липсващ пакет, казва на изпращащия да промени ключа и да започне синхронизацията от начало. Това позволява на евентуален атакуващ да направи атака с отказ на услугата и да модифицира (брояча) времето на пакета или да предизвика ресинхронизация. За да се избегне тази атака, в PPTP МPPE сменя ключа на всеки пакет.
PPP измами при уговарянето (Negotiation Spoofing) PPP уговорките между PPTP клиента и сървъра са некриптирани и без
автентикация. По тази причина , е възможно атакуващ да измами с PPP пакет, такъв който съдържа адреса на DNS сървъра или IP адрес, който да бъде използван от клиента. Може също така да бъде модифицирана информация в пакета.
Пасивно Наблюдение Наблюдавайки PPTP контрола и каналите за информация по време на
тунелирането различна информация за PPTP сървъра и клиента може да се получи. Тази информация включва IP адресите на клиента и на сървъра, вътрешния IP адрес на клиента на PPTP тунела, адресите на външните DNS сървъри дадени на клиента и потребителското име на клиента . В MS-CHAP v2 са направени промени, които подобряват сигурността на PPTP протокола. Основно, проблема с автентикацията и криптирането е, че те са толкова сигурни, колкото сигурна парола е избрал потребителя. Колкото по-бързи стават компютрите и атаките срещу пароли стават по осъществими и се достига до рабиване на паролите. Списъка с лоши пароли
23
включва думи като: думи от речник, думи със случайно разместени букви , думи допълнени с числа, думи, в които букви са заместени с числа, обърнати думи, думи образувани от началните букви на други думи. Могат да се използват протоколи за автентикация и размяна на ключове , които не пзволяват да се прави dictionary атаки върху паролите на потребителите.
8. Практически решения за VPN
От технологична гледна точка VPN могат да бъдат класифицирани взависимост от това дали функционират чрез мрежа от слой 2 или от слой 3 от Open System Interconnection (OSI) модела (фиг.8). Протоколите, функциониращи в Слой 2, са L2TP и PPTP. VPN, работещи в слой 3, обикновено използват IP протокола като протокол от мрежовия слой. Пример за протокол от слой 3 е IPSec, но L2TP също може да се използва за транспортиране на протоколи от слой 3.
Фиг. 8. Протоколи, използвани в OSI модела
PPTP VPN протокол
Point –to-Point Tunneling Protocol (PPTP) е протокол, разработен от Cisco и по-късно включен в операционната система Windows, поради което е получил своята популярност. Той представлява разширение на протокола Point-to-Point Protocol (PPP), което служи за oсъществяване на отдалечен достъп. PPP пакетите (фиг.9) се енкапсулират във вътрешността на Generic Routing Encapsulation (GRE) хедър, дефиниран в RFC 1701 и 1702. Полученият пакет се трансформира в IP пакет, който осигурява необходимата маршрутизираща информация. PPP може да се използва за пренос на IP, IPX и NetBEUI пакети.
24
Фиг. 9. PPP пакет
Удостоверяването при PPTP връзките се осъществява по два начина: чрез базирания на парола протокол MSCHAP-v2 или чрез използване на EAP-TLS, базиран на цифрови сертификати. Протоколът на Microsoft MSCHAP-v2 установява PPP сесия посредством потрeбителско име и парола и е наследник на MSCHAP-v1 и Challenge Handshake Authentication Protocol (CHAP). Удостоверяването чрез MSCHAP може да бъде уязвимо поради използването на слаби пароли. Криптирането в PPTP се извършва чрез Microsoft Point-to-Point Encryption (MPPE). MPPE служи за криптиране на PPP пакети и използва RSARC4 алгоритъм, като дължината на ключа може да бъде 40, 56 и 128-битова.
Предимства на PPTP.PPTP е много популярен, защото лесно се конфигурира и е поддържан от всички
версии на Microsoft Windows след Windows 95. Освен това съществуват клиенти за почти всички операционни системи – за Линукс, Mac OS и различни PDA мобилни устройства. РРТР VPN осигурява защита на данните чрез криптиране и осигурява значителна сигурност на връзката при използване на сложни пароли или чрез метода EAP-TLS, който предлага възможност за използване и на смарт карти. Протоколът позволява свързване на клиенти зад NAT (Network Address Translation).
Недостатъците на VPN връзката, базирана на РРТР, се състоят в това, че тя не осигурява целостта на данните и не предлага удостоверяване на всеки пакет, а само първоначално удостоверяване на ниво потребител, което прави протокола уязвим на множество атаки, например “replay” атаки.
L2TP VPN протоколLayer 2 Tunneling Protocol (L2TP) функционира в каналния (datalink) слой на OSI
модела и представлява протокол за тунелиране на мрежовия трафик между две точки през съществуваща мрежа (обикновено Интернет). В най-общия случай той пренася PPP сесия в L2TP тунел, подобно на PPTP. След създаване на тунела мрежовият трафик между двете точки е двупосочен. L2TP по IP интермрежи използва UDP и серия от L2TP-съобщения за управление на тунела. L2TP използва UDP, за да изпрати L2TP-капсулирания PPP пакет като тунелирани данни. Данните на капсулирания РРР пакет могат да бъдат криптирани и/или компресирани, въпреки че реализацията на Microsoft на L2TP не използва МРРЕ за криптиране на РРР данни.
25
Фиг. 10. L2TP пакет
L2TP сам по себе си не осигурява поверителност или удостоверяване и затова най-често се използва с IPSec, който предоставя поверителност, удостоверяване и интегритет. Комбинацията между двата протокола се нарича L2TP/IPSec и е описана в RFC3193. L2TP предлага някои предимства в сравнение с PPTP, като например: L2TP има възможност да поддържа множество тунели между крайни точки; поддържа компресиране на хедъри, което спестява допълнителната информация; има възможност за тунелно удостоверяване и може да работи по мрежи, различни от IP, използващи ATM или FrameRelay виртуални вериги. L2TP/IPSec се нуждае от сертификационна инфраструктура, за да прилага компютърни сертификати или споделени ключове. Поддържа се в Windows Server 2003, Windows XP, Windows 2000 и други L2TP клиенти, работещи с Microsoft L2TP/Ipsec VPN Client.
IPSec VPN IPSec (Internet Protocol security) е утвърден стандарт за сигурност на протокола IP,
разработен за неговата защита, тъй като Internet Protocol не предоставя такива възможности. IPSec добавя допълнителни услуги, липсващи в IP, които предоставят следните възможности:
Криптиране на трафика; Цялост на данните; Удостоверяване между участващите страни.
Тези услуги се осъществяват чрез трите протокола, от които се състои IPSec: АН (Authentication Header) – предоставя удостоверяване на IP пакетите. ESP (Encapsulating Security Payload) - предоставя криптиране и удостоверяване на
IP пакетите. IKE (Internet Key Exchange) - договаря параметрите на връзката, включително
ключовете.IPSec e проектиран да работи, както в тунелен режим (за защита на комуникацията
между отделни мрежи), така и в транспортен режим (за защита на комуникациите между двама участника), поради което се използва за изграждане на виртуални частни мрежи. IPSec е единственият стандартизиран протокол, който отговаря на всички изисквания към виртуалните частни мрежи.
26
9. Open VPN – пр e димства и недостатъци
Съществуват протоколи, които работят над мрежовия слой 3от OSI модела. Пример за това са решения, базирани наSSL,SSH и TLS, опериращи в слой 4-7от OSI. Такъв протокол е именно Open VPN клиента. Open VPN има няколко основни технологични качества, които много хора подценяват, но пестят много поддръжка и откриват много нови възможности. Първото качество е, че е Open. Това значи, че е free, разпространява се на source. Работи и покрива всякакви платформи (с изключение на телефонни). Няма разлика между клиент и сървър. Всеки клиент, може да е сървър (и да се закачват към него други клиенти), и всеки сървър може да е клиент.
OpenVPN използва TCP или UDP сесия, за да реализира тунела си до съвръра. Реализирането на VPN на 6ти и 7ми слой по OSI модела, а не на 3-ти има съществени предимства. Масовия Windows не поддържа NAT-T технология, масовите Firewall-и не позволяват повече от една (дори и една) GRE сесия и т.н. OpenVPN няма нито един от тези проблеми. Той минава през UDP или TCP. Може да бъде скрит зад HTTP request, може да работи с всеки Source и Destination порт. Може да го пуснете на DNS порта, и да изглежда като DNS заявка. Може да мине през 80-ти порт, през нормално или Transparent Proxy, изглеждащ като HTTP заявка. Може да мине през Socks (за разлика от Cisco Easy VPN, Juniper VPN, PPTP/L2TP/IPSec клиента в Windows). Това значи, че практически няма случай, ако сме в мрежа, където да има достъп до интернет и да не можем да се свържем към фирмената си вътрешна мрежа.
Open VPN отваря логически интерфейс за всеки тунел. Това значи, че можем да пуснем повече от един VPN клиент едновременно, свързан към различна мрежа. Така, ако правим поддръжка например и се намираме някъде в чужбина, можем да сме закачени едновременно и към фирмената ни мрежа, и към мрежата на клиента, чиято конфигурация или поддръжка извършваме. OpenVPN поддържа автоконфигурация. На OpenVPN може да се конфигурират компресия, криптиращи и оторизационни протоколи, оторизация, мрежи, приоритети, DNS и Wins сървър, както и всички DHCP опции. Подобрение е наличието на възможност за задавне на приоритет на кофигурационните параметри в случай на конфликт. Това значи, че администратора може да инсталира и конфигурира така VPN клиента, че да се стартира автоматично, винаги, и потребителя без значение къде се намира – в офиса или навън, да достъпва офисните ресурси по скрит и незабележим за него, но в същия момент сигурен начин.
OpenVPN поддържа огромен набор операционни системи – Windows (включително 95), UNIX, върху всякакви платформи и процесори, Embedded Systems (като embedded Linux върху WRT54GL на Linksys), MAC OS. В момента се разработва използването му и под Symbian и Windows CE/Mobile. Това разнообразие е неприсъщо за друга технология, освен PPTP.
OpenVPN поддържа VPN сесия с Ethernet Bridging, а не само Routed VPN сесия. Повечето VPN клиенти изискват VPN сесията да бъде с различни IP адреси, и трафика към нея да се маршрутизира на Layer3 по OSI модела. Това обаче създава огромни проблеми, особено в по-големи фирми с по-сложни конфигурации. Налага се да се заделят специално IP адреси за VPN, да се провизионират по различен начин (без значение дали се ползват или не), и някак си да бъдат маршрутизирани към VPN сървъра. Което пък поставя ограничения къде в мрежата може да бъде VPN сървъра и т.н. При OpenVPN всички тези проблеми са решени чрез Bridged клиента. Видимо изглежда
27
така, че компютъра във VPN сесия все едно се намира в мрежата директно, „взима“ си IP адрес и конфигурация (дори и чрез 802.1x) по стандартния начин, от DHCP сървър-а, и менажирането и следенето се осъществява централизирано.
OpenVPN поддържа оторизация със сертификати, пароли или трети механизъм. Може да бъде разширен със скриптове, които да се стартират автоматично от страна на сървъра или клиента при закачване и да правят нещо допълнително, непредвидено в протокола. Огромно предимство е и че се разработва изключително активно. Може да оторизира не само в посока клиент-сървър, но и клиента може да оторизира сървъра и така да се пази от man in the middle атаки нещо, което е принципен проблем за всеки VPN.Още едно голямо предимство на Open VPN е използването на ptunnel - това е малка програма, която позволява тунелирането на TCP трафик върху ICMP (или върху обикновен PING). Тя тунелира само една TCP сесия върху PING, но допуска прекарването „отгоре“ на OpenVPN сесия, през която да се пренася фирмената информация. Комбинацията на двете технологии е подходяща особено за мобилни служители на фирмата или служител в командировка.
В таблица 1 е реализирано кратко сравнение между стандартна VPN технология и OpenVPNТаблица 1.Функционалност
OpenVPN Cisco Easy VPN Client
Juniper/Microsoft L2TP over IPSec
L2TP/PPTP вWindows
IPSec GRE
Компресия Да Да Да (в PPP-то)
Да, MPPE в PPPпротокола
Стандартно не, има разширения на IKE-то
Не
Encryption Да, DES, 3DES, AES, Blowfish,RC4, RC5 и други
Някой от 3DES иAES вариантите
Да DES, 3DES, AES
RC4 чрез MPPEвърху PPP-то
DES, 3DES, AES,други
Не (има частни имплементации)
Authorization Да, MD5, SHA1и други
MD5, SHA1 MD5, SHA1
не MD5, SHA1,други
Не
Authentication Да, 802.1x, EAP,сертификати,Mutual,пароли, разширителни модули
Сертификати, групи, пароли
Сертификати, пароли, EAP, има иmutual
EAP и стандартните за PPP
Да, в IKE-то, но само статична. Има и mutual
Не
Routed VPN Да Да Да Да Да ДаBridged VPN Да Не Не Не Не ДаКлиента може да е и
Да Не Не Не Да Да
28
сървърАвтоконфигурация
Да Да Да Да Не Не
Приоритети на конфигурационните параметри
Да Не Не Не Не Не
Безплатен Да Не, но има безплатна по-добра имплементацияvpnc
Не, но има безплатна имплементация през OpenSWAN
Да Не, но има безплатни имплементации през OpenSWAN
Да
Стартиране на скрипт при събитие
Да Не Не Не (в безплатните имплементации в сървърската част)
Типично не, заOpenSWAN да
Не
Логически интерфейси
Да Не (vpnc – да) Да Да Да Да
Много различни сървъри на една машина
Да Не, конфликт на портове
Не, конфликт на портове
Не, конфликт на портове
Не, конфликт на портове
Не, конфликт на протоколи
Стандарт TLS-SSL, Ethernet
Частно разширение наIKE, не може да работи с другIPSEC на същата машина
IPSEC, L2TP, PPP
PPP, GRE, PPTP, L2TP
IPSEC GRE
Стабилност Много висока Много ниска, има и много бъгове
Ниска Изключително висока
Много висока
Изключително висока
10.Мобилен VPN
Услугата Mобилен VPN (фиг.11), която се предлага от българските мобилни оператори е допълнение към услугата IP VPN. Mобилния VPN дава възможност клиента да се свързва към своята корпоративна мрежа от всяка точка от покритието на мобилната мрежа на мобилния оператор (с най-добро покритие към днешна дата е Vivacom).
29
Характеристики:Клиентът получава SIM карта, която позволява на крайното потребителско устройство
достъп до корпоративната мрежа, без да е нужно инсталиране на допълнителен софтуер. Използваната технология гарантира сигурността на връзката и защитата на комуникацията. Услугата може да бъде ползвана независимо от ползваната безжична технология - GSM, GPRS, EDGE, UMTS, HSDPA. Дава възможност за следене на трафик на потреблението. SIM картата може да се ползва на различни крайни устройства - настолен компютър, лаптоп, PDA - директно или чрез допълнителни устройства - 3G модеми, PC карти и др.
Предимства: Висока степен на достъпност до услугата (мобилната мрежа на VIVACOM покрива
99% от населението на страната и 89% от територията); Лесна за използване - услугата не изисква специални технически познания; Може да се използва за основна свързаност на труднo достъпни места; Удобно средство за резервиране на основна свързаност; Подходяща услуга за дистрибуторски, финансови, комунални и др. фирми с
мобилни служители и отчитащи устройства; Интернет базирани средства за мониторинг; Техническа поддръжка 24 x 7 x 365, осигурявана от сертифицирани инженери.
Фиг. 11. Мобилен VPN
11.Заключение
30
С увеличаване на популярността на Интернет като корпоративно средство за комуникации, сигурността става много по-належащ проблем както за доставчици, така и за клиенти. Осъзнавайки че доверените VPNs не предлагат реална сигурност, доставчиците започват създаването на протоколи, които биха позволили криптирането на данните в края на една мрежа или в първоначалния компютър, пренасянето им като всички други данни и дешифрирането им при достигане на предназначеното място. Този криптиран трафик играе ролята на тунел между двете мрежи: дори и ако един нарушител успее да види трафика, той не може да го прочете и не може да го промени без това да остане незабелязано при получаването. Мрежите, конструирани чрез използване на криптиране се наричат сигурни (secure) VPNs. Напоследък, доставчиците започват да предлагат нов вид доверени VPNs, които този път използват Интернет вместо телефонните системи като основа за комуникациите. Този нов вид доверени VPNs все още не предлагат сигурност, но предоставят на клиентите начин за лесно създаване на мрежови сегменти за WANs. В добавка, доверените VPN сегменти могат да бъдат контролирани от едно място и често се доставят с гарантирано качество на услугата (QoS) от доставчика. Сигурна VPN може да функционира като част от доверена VPN, създавайки трети тип VPN - хибридни (hybrid) VPNs. Сигурните части на хибридна VPN могат да бъдат контролирани от клиента (например чрез използване на сигурно VPN оборудване по различните местоположения) или от доставчика, който предоставя доверената част на хибридната VPN. Понякога цялата хибридна VPN е осигурена от сигурна VPN, но обикновено се осигурява само част от хибридната VPN. VPN технологията дава възможност на фирмите да се свързват със свои филиали или други компании през публични мрежи (катоИнтернет), осигурявайки сигурна комуникация. В този случай VPN връзката през Интернет логически оперира като глобална мрежа (wide area network - WAN) между страните. С разработването на виртуалните частни мрежи се посрещат изискванията, произтичащи от разрастването на телекомуникациите и разпространението на глобалните операции, което позволява на служителите да се свързват към централните ресурсии да общуват помежду си. За да предостави на служителите възможността да се свързват към компютърните ресурси на организацията без значение от тяхното местонахождение, фирмата трябва да осигури гъвкаво решение за отдалечен достъп. Обикновено се избира едно от следните решения: отдел, който се занимава със закупуването, инсталирането и поддръжката на набор от модеми и инфраструктура за частната мрежа, или наемане на външна компания, която да осъществява тези задачи. Нито едно от изброените решения не предлага необходимите способности от гледна точка на разходи, гъвкаво управление и възможност за връзки. Следователно е целесъобразна замяната на базата от модеми и инфраструктура на частната мрежа с по-евтино решение, базирано на Интернет технологията, така че бизнесът да се съсредоточи върху своята основна дейност. Чрез Интернет решението няколко Интернет връзки през доставчик на Интернет и VPN сървър компютър могат да обслужват отдалечените мрежови потребности на стотици или хиляди отдалечени клиенти и офиси.
Използвана литература
31
1.Dennis Fowler, Virtual Private Networks: Making the Right Connection (The Morgan Kaufmann Series in Networking), Morgan Kaufmann Publishers, INC, 1999 2. Microsoft, White Paper: “Microsoft Privacy Protected Network Access: Virtual Private Networking and Intranet Security” 3.Дж. Скамбрей, Ст. МакКлър, Дж. Къртс, Защита от хакерски атаки, Софт Прес, 2001 4.http://www.microsoft.com/NTServer/commserv/deployment/moreinfo/VPNSec_FAQ.asp 5.http://www.counterpane.com/pptpv2-paper.html 6.www.corecom.com/html/vpn.html 7.www.cisco.com8.www.vivacom.bg
32
